您的位置:

iptables四表五链详解

一、iptables四表五链是什么

iptables是Linux中一个强大的防火墙软件,它的作用是通过过滤网络数据包来实现网络安全控制。iptables四表五链是iptables中的四个表和五个链,分别是filter表、nat表、mangle表、raw表,以及PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD五个链。这五个链是数据包在网络流量中经过的五个步骤。

二、iptables命令详解

在iptables使用过程中,最常用的是iptables命令。iptables命令有许多参数和选项,这里为大家介绍一些常用的命令:

1. iptables -L

iptables -L

该命令用于列出iptables的表、链、策略规则和计数信息,以及DNS服务器的IP地址和MAC地址等信息。

2. iptables -F

iptables -F

该命令用于清除所有iptables的规则,策略和计数信息。

3. iptables -A

iptables -A chain rule

该命令用于向一个特定的链中添加一个规则,规则的规则号是自动分配的。

3. iptables -D

iptables -D chain rule

该命令用于从一个特定的链中删除一个规则,可以使用链名称和规则号来指定要删除的规则。

4. iptables -P

iptables -P chain target

该命令可以修改一个特定链的默认策略。默认情况下,策略是ACCEPT,可以更改为DROP或REJECT。

三、iptables有哪些表

iptables采用表 (table) 和链 (chain) 的概念来维护规则。一张表包装了若干个链,每个链里面包含了若干个规则。

1. filter表

该表是iptables中默认的表,它可以让你设置不仅是包过滤,还包括NAT和其他的一些功能。

iptables -t filter

2. nat表

这个表是专门为NAT(Network Address Translation)服务的。NAT是将来自于外部网络的数据包经过内部网络地址转换之后再转发出去的一种技术。

iptables -t nat

3. mangle表

对数据包的标记、修改和处理都可以在mangle表上完成。它不仅仅是单纯的过滤,它可以对数据包进行更改、符号转换、QoS等多种操作。

iptables -t mangle

4. raw表

raw表是用来配置某些特殊的规则。它允许用户在普遍的包过滤规则之上要纠错,从而涵盖了其他表中没有的高级功能。

iptables -t raw

四、iptables详解

iptables标记和修改的规则可分为以下几种:

1. -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE

该规则用来实现IP伪装,把内部网络IP地址通过一个外部地址发布给Internet。

2. -A FORWARD -s 192.168.0.0/16 -d ! 192.168.0.0/16 -j DROP

该规则指定所有从192.168.0.0/16网段中的IP地址发出的数据包都要被禁止访问其他非192.168.0.0/16网段中的IP地址。

3. -A INPUT -p tcp --sport 80 -j DROP

该规则禁止所有TCP协议的数据包通过端口80进入防火墙。

五、iptables基本命令

1. 开启iptables

service iptables start

2. 关闭iptables

service iptables stop

3. 重启iptables

service iptables restart

4. 查看iptables状态

service iptables status

5. 添加开机自启动

chkconfig iptables on

上述命令是Linux下iptables配置和使用的基本命令,可以满足基础的网络安全需求。

六、iptables nat表

1. 将一个端口映射到另一个端口

iptables -t nat -A PREROUTING -p tcp --dport 25 -j REDIRECT --to-port 2525

2. 向特定目标IP地址映射端口

iptables -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.200:80

3. 通过MASQUERADE实现多IP共享同一个Internet

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

iptables四表五链是Linux系统中最常用的安全工具之一。通过iptables我们能够进行精细的流量控制以及访问控制。在日常的Linux管理工具中,iptables的应用非常广泛,对于系统管理员和网络运维人员来说是必须掌握的一项技能。